Aperçu du RPV site à site

Un RPV site à site fournit une connexion IPSec site à site entre votre réseau sur place et votre réseau en nuage virtuel (VCN). La suite de protocoles IPSec chiffre le trafic IP avant que les paquets ne soient transférés de la source à la destination, et déchiffre le trafic à son arrivée. RPV site à site était précédemment désigné sous le nom Connexion RPV et RPV IPSec.

Il existe d'autres solutions RPV sécurisées; par exemple, OpenVPN, solution RPV client accessible sur Oracle Marketplace. OpenVPN connecte des appareils individuels à votre VCN, mais non des sites ou des réseaux entiers.

Cette rubrique présente un aperçu du RPV site à site pour votre VCN. Pour les scénarios qui incluent RPV site à site, voir Scénario B : Sous-réseau privé avec un RPV et Scénario C : Sous-réseaux publics et privés avec un RPV.

Pour plus d'informations sur les limites, voir Limites de RPV site-à-site et Demande d'une augmentation de limite de service.

Connaissances et personnel requis

En général, les types de personnel suivants sont impliqués dans la configuration de RPV site à site avec Oracle Cloud Infrastructure :

  • Un membre de l'équipe Dev Ops (ou fonction similaire) qui utilise Oracle Cloud InfrastructureConsole pour configurer les composants en nuage nécessaires au réseau virtuel et au RPV site à site.
  • Un ingénieur réseau (ou fonction similaire) qui configure l'équipement local d'abonné (CPE) à l'aide des informations fournies par le membre de l'équipe Dev Ops.
Conseil

Le membre de l'équipe Dev Ops doit avoir l'autorisation de créer et de gérer les composants en nuage. Si la personne est l'administrateur par défaut pour votre location Oracle Cloud Infrastructure ou un membre du groupe Administrateurs, elle dispose de l'autorisation requise. Pour plus d'informations sur l'accès à vos composants de réseau, voir Contrôle d'accès.

Le personnel doit connaître les concepts et définitions suivants :

RESSOURCES EN NUAGE
Tout ce que vous provisionnez sur une plate-forme en nuage. Par exemple, avec Oracle Cloud Infrastructure, une ressource en nuage peut faire référence à un réseau VCN, à une instance de calcul, à un utilisateur, à un compartiment, à un équilibreur de charge ou tout autre composant de service sur la plate-forme.
SUR PLACE
Terme très utilisé dans les technologies en nuage qui font référence à vos environnements de centre de données traditionnels. Sur place peut faire référence à un scénario de colocalisation, à un espace ou à un bâtiment de centre de données dédié, ou à un ordinateur de bureau.
IDENTIFICATEUR ORACLE CLOUD (OCID)
Identificateur unique affecté à chaque ressource que vous provisionnez sur Oracle Cloud Infrastructure. L'OCID est une chaîne longue qu'Oracle génère automatiquement. Vous ne pouvez pas choisir la valeur d'un OCID ou modifier celui d'une ressource. Pour plus d'informations, voir Identificateurs de ressource.

À propos de la connexion IPSec Oracle

En général, une connexion IPSec peut être configurée à l'aide des modes suivants :

  • Mode de transport : IPSec chiffre et authentifie seulement les données utiles réelles du paquet ; les informations d'en-tête restent intactes.
  • Mode tunnel (pris en charge par Oracle) : IPSec chiffre et authentifie l'ensemble du paquet. Après le chiffrement, le paquet est automatiquement encapsulé pour former un nouveau paquet IP aux informations d'en-tête différentes.

Oracle Cloud Infrastructure prend en charge le mode de tunnel pour les RPV IPSec uniquement.

Chaque connexion IPSec Oracle se compose de plusieurs tunnels IPSec redondants. Pour un tunnel donné, vous pouvez utiliser un routage dynamique BGP (Border Gateway Protocol) ou un routage statique pour diriger le trafic de ce tunnel. Des détails supplémentaires sur le routage suivent.

Les tunnels IPSec RPV site à site offrent les avantages suivants :

  • Les lignes Internet publiques permettent de transmettre les données. Ainsi, les lignes de location dédiées et coûteuses d'un site à un autre ne sont pas nécessaires.
  • Les adresses IP internes des réseaux et des noeuds participants sont masquées aux utilisateurs externes.
  • La communication complète entre les sites source et cible est chiffrée, ce qui réduit considérablement les risques de vol de données.

Routage de RPV site à site

Lorsque vous configurez RPV site à site, il possède deux tunnels IPSec redondants. Oracle vous encourage à configurer votre équipement local d'abonné afin qu'il utilise les deux tunnels (si votre appareil prend en charge cette option). Notez qu'auparavant, Oracle créait des connexions IPSec qui possédaient jusqu'à quatre tunnels IPSec.

Les trois types de routage suivants sont disponibles, et vous choisissez le type séparément pour chaque tunnel IPSec dans RPV site à site :

  • Routage dynamique BGP : Les routes disponibles sont apprises de manière dynamique au moyen de BGP. La passerelle DRG apprend dynamiquement les routes de votre réseau sur place. Côté Oracle, la passerelle DRG annonce les sous-réseaux du VCN.
  • Routage statique : Lorsque vous configurez la connexion IPSec à la passerelle DRG, vous spécifiez les routes particulières à votre réseau sur place que le réseau VCN doit connaître. Vous devez également configurer votre CPE avec des routes statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.
  • Routage basé sur des politiques : Lorsque vous configurez la connexion IPSec à la passerelle DRG, vous spécifiez les routes particulières à votre réseau sur place que le réseau VCN doit connaître. Vous devez également configurer votre CPE avec des routes statiques vers les sous-réseaux du VCN. Ces routes ne sont pas apprises dynamiquement.

Détails de routage importants pour RPV site à site

Voici des détails importants concernant le routage pour votre RPV site à site :

  • Choix de routage :

    • Initialement, RPV site à site ne prenait en charge que le routage statique et vous deviez fournir au moins une route statique pour la connexion IPSec globale.
    • Maintenant, deux types de routage différents sont disponibles (BGP et routage statique). Vous configurez le type de routage par tunnel. Un seul type de routage à la fois est pris en charge pour un tunnel donné.
    • En général, Oracle vous encourage à utiliser le même type de routage pour tous les tunnels de votre connexion IPSec. Exception : Si vous effectuez la transition d'un routage statique à BGP, un tunnel peut continuer à utiliser temporairement le premier, alors qu'un autre est déjà passé à BGP.
    • Lorsque vous créez une connexion IPSec, le routage statique est sélectionné par défaut pour tous les tunnels, sauf si vous configurez explicitement chaque tunnel pour BGP.
  • Informations de routage requises :

    • Si vous choisissez BGP, pour chaque tunnel, vous devez fournir deux adresses IP (une pour chacun des deux routeurs BGP dans la session BGP du tunnel). Les adresses doivent figurer dans le domaine de chiffrement de la connexion IPSec. Vous devez également fournir le numéro de système autonome BGP (ASN BGP) de votre réseau.
    • Si vous choisissez un routage statique, vous devez fournir au moins une route statique (maximum 10). Les routes statiques sont configurées avec la connexion IPSec globale, de sorte que le même jeu de routes statiques soit utilisé pour tous les tunnels de la connexion IPSec configurés pour le routage statique. Vous pouvez modifier les routes statiques à tout moment après avoir créé la connexion IPSec. Si vous effectuez une action PAT entre votre CPE et votre VCN, la route statique pour la connexion IPSec est l'adresse IP PAT. Voir Exemple de disposition avec PAT.
    • Si vous choisissez un routage statique, vous pouvez éventuellement indiquer une adresse IP pour chaque extrémité du tunnel à des fins de dépannage ou de surveillance du tunnel.
    • Si le tunnel est configuré pour BGP, les routes statiques de la connexion IPSec sont ignorées. Toutes les routes statiques associées à la connexion IPSec servent à diriger le trafic d'un tunnel donné uniquement si ce tunnel est configuré pour utiliser le routage statique. Cela est particulièrement pertinent si vous disposez d'un RPV site à site qui utilise le routage statique, mais que vous voulez passer au BGP.
  • Modification du routage :

    • Si vous voulez faire passer un tunnel de BGP au routage statique, vous devez d'abord vous assurer que la connexion IPSec est elle-même associée à une route statique au moins.
    • Vous pouvez modifier le type de routage d'un tunnel à tout moment (sauf si le tunnel est actuellement provisionné par Oracle). Même si vous modifiez le routage, le tunnel demeure actif (son statut IPSec ne change pas). Toutefois, le flux du trafic par le tunnel est interrompu temporairement lors du reprovisionnement et pendant que vous reconfigurez votre CPE. Pour plus d'informations sur les modifications apportées à RPV site à site, voir Utilisation du RPV site à site.
    • Comme vous configurez le type de routage séparément pour chaque tunnel, si vous voulez faire passer votre RPV site à site du routage statique à BGP, vous pouvez le faire tunnel par tunnel. Ceci évite d'arrêter la totalité de la connexion IPSec. Pour obtenir des instructions, voir Passage du routage statique au routage dynamique BGP.

Annonces de route et préférences de chemin lorsque vous avez plusieurs connexions

Lorsque vous utilisez BGP, la passerelle DRG associée à votre VCN annonce les routes vers votre CPE.

Si vous configurez plusieurs connexions entre votre réseau sur place et VCN, vous devez comprendre les routes que la passerelle DRG annonce et comment définir les préférences de chemin d'accès pour utiliser la connexion désirée.

Pour obtenir des informations importantes, voir Détails de routage pour les connexions à votre réseau sur place.

Préférence d'un tunnel particulier dans RPV site à site

Dans RPV site à site, vous pouvez influencer quel tunnel sera privilégié. Voici les éléments que vous pouvez configurer :

  • Préférence locale BGP de votre équipement local d'abonné : si vous utilisez BGP, vous pouvez configurer l'attribut de préférence local BGP sur votre appareil CPE pour contrôler quel tunnel est privilégié pour les connexions lancées à partir de votre réseau sur place vers votre VCN. Comme Oracle utilise généralement un routage asymétrique, vous devez configurer d'autres attributs si vous voulez qu'Oracle réponde sur ce même tunnel. Voir les deux éléments suivants.
  • Routes plus spécifiques sur le tunnel privilégié : vous pouvez configurer votre CPE de manière à annoncer des routes plus spécifiques pour le tunnel que vous souhaitez privilégier. Oracle utilise la route à la correspondance de préfixe la plus longue lors de la réponse aux connexions ou du lancement de celles-ci.
  • Ajout de préfixe de chemin AS : BGP préfère le chemin AS le plus court. Si vous utilisez ce protocole, vous pouvez ajouter un préfixe au chemin AS pour contrôler quel tunnel offre le chemin le plus court pour une route donnée. Oracle utilise le chemin AS le plus court lors de la réponse aux demandes ou lors de l'établissement de connexions.

Aperçu des composants du RPV site à site

Si vous ne connaissez pas encore les composants de base du service Réseau, consultez Service de réseau avant de continuer.

Lorsque vous configurez RPV site à site pour votre VCN, vous devez créer plusieurs composants de service Réseau. Vous pouvez les créer à l'aide de la console ou de l'API. Voir le diagramme et la description des composants qui suivent.

Cette image présente les composants de RPV site à site
Légende 1 : Table de routage de VCN par défaut
CIDR de destination Cible de routage
0.0.0.0/0 DRG
objet cpe
À votre extrémité de RPV site à site se trouve l'appareil réel de votre réseau sur place (matériel ou logiciel). L'expression équipement local d'abonné (CPE) est couramment utilisée dans certains secteurs d'activité pour faire référence à ce type d'équipement sur place. Lors de la configuration du RPV, vous devez créer une représentation virtuelle de l'appareil. Oracle appelle cette représentation un CPE, mais cette documentation utilise généralement l'objet CPE pour distinguer la représentation virtuelle de l'appareil même. L'objet CPE contient les informations de base sur l'appareil requises par Oracle. Une seule adresse IP publique d'objet d'équipement local d'abonné peut avoir jusqu'à 8 connexions IPSec.
PASSERELLE DE ROUTAGE DYNAMIQUE (DRG)
À l'extrémité Oracle de RPV site à site figure un routeur virtuel appelé passerelle de routage dynamique, qui permet d'accéder à votre réseau en nuage virtuel depuis votre réseau sur place. Que vous utilisiez RPV site à site ou des circuits virtuels privés IPSec ou des circuits virtuels privés Oracle Cloud Infrastructure FastConnect pour connecter vos réseaux sur place et VCN, le trafic circule par la passerelle DRG. Pour plus d'informations, voir Passerelles de routage dynamique.
Un ingénieur de réseau pourrait assimiler la passerelle DRG à la tête du réseau privé virtuel. Après en avoir créé une, vous devez l'associer à votre VCN, à l'aide de la console ou de l'API. Vous devez également ajouter une ou plusieurs règles de routage qui dirigent le trafic du VCN à la passerelle DRG. Sans cette association de la passerelle et les règles de routage, le trafic ne circule pas entre vos réseaux VCN et sur place. Vous pouvez à tout moment détacher la passerelle DRG de votre VCN, mais conserver tous les composants de RPV restants. Vous pouvez ensuite rétablir l'association ou associer la passerelle DRG à un autre VCN.
connexion ipsec
Après avoir créé l'objet CPE et la passerelle DRG, vous les connectez en créant une connexion IPSec, que vous pouvez considérer comme un objet parent qui représente le RPV site à site. La connexion IPSec possède son propre OCID . Lorsque vous créez ce composant, vous configurez le type de routage à utiliser pour chaque tunnel IPSec et fournissez les informations de routage connexes. Une seule adresse IP publique d'objet d'équipement local d'abonné peut avoir jusqu'à 8 connexions IPSec.
TUNNEL
Un tunnel IPSec sert à chiffrer le trafic entre des points d'extrémité IPSec sécurisés. Oracle crée deux tunnels dans chaque connexion IPSec à des fins de redondance. Chacun possède son propre OCID . Oracle recommande de configurer votre appareil CPE afin qu'il prenne en charge les deux tunnels en cas de panne de l'un d'entre eux ou de sa mise hors ligne par Oracle pour maintenance. Chaque tunnel possède des informations de configuration dont votre ingénieur réseau a besoin lors de la configuration de votre appareil CPE. Ces informations comprennent une adresse IP et une clé secrète partagée, ainsi que des paramètres ISAKMP et IPSec. Vous pouvez utiliser l'application d'aide pour la configuration de l'équipement local d'abonné pour réunir les informations dont l'ingénieur réseau a besoin. Pour plus d'informations, voir Paramètres IPSec pris en charge et Équipements locaux d'abonné vérifiés.

Contrôle de l'accès pour les composants

Aux fins de contrôle d'accès, lorsque vous configurez RPV site à site, vous devez indiquer le compartiment où vous voulez que chacun des composants réside. Si vous ne savez pas quel compartiment utiliser, placez tous les composants dans celui du VCN. Notez que les tunnels IPSec figurent toujours dans le même compartiment que la connexion IPSec parent. Pour plus d'informations sur les compartiments et savoir comment limiter l'accès à vos composants de réseau, voir Contrôle de l'accès.

Noms et identificateurs de composant

Si vous le souhaitez, vous pouvez affecter un nom descriptif à chacun des composants lors de leur création. Ces noms n'ont pas besoin d'être uniques, mais il est recommandé d'utiliser des noms uniques dans votre location. Évitez d'entrer des informations confidentielles. Oracle affecte automatiquement un OCID à chaque composant. Pour plus d'informations, voir Identificateurs de ressource.

Si votre équipement local d'abonné est derrière un appareil NAT

En général, l'identificateur IKE de CPE configuré à votre extrémité de la connexion doit correspondre à celui qu'Oracle utilise. Par défaut, Oracle utilise l'adresse IP publique du CPE, que vous fournissez lorsque vous créez l'objet CPE dans la console Oracle. Toutefois, si votre équipement local d'abonné est derrière un appareil NAT, l'identificateur IKE configuré à votre extrémité peut être l'adresse IP privée du CPE, comme illustré dans le diagramme suivant.

Cette image présente le CPE derrière un appareil NAT, les adresses IP publiques et privées, ainsi que l'identificateur IKE de CPE.
Note

Certaines plates-formes CPE ne permettent pas de modifier l'identificateur IKE local. Dans ce cas, vous devez remplacer l'ID IKE distant dans la console Oracle par l'ID IKE local de votre CPE. Vous pouvez entrer cette valeur lorsque vous configurez la connexion à IPSec ou plus tard, lorsque vous la modifiez. Pour Oracle, la valeur doit être une adresse IP ou un nom de domaine complet, tel que cpe.example.com. Pour obtenir des instructions, voir Modification de l'identificateur IKE de CPE utilisé par Oracle.

À propos de la clé secrète partagée de tunnel

Chaque tunnel a une clé secrète partagée. Par défaut, la clé secrète partagée du tunnel est affectée par Oracle, sauf si vous en fournissez une vous-même. Vous pouvez définir une clé secrète partagée pour chaque tunnel lorsque vous créez la connexion IPSec ou après la création des tunnels. Seuls les lettres, les chiffres et les espaces sont autorisés dans la clé secrète partagée. Si vous modifiez celui d'un tunnel existant, ce dernier s'arrête pendant son reprovisionnement.

Pour obtenir des instructions, voir Modification de la clé secrète partagée utilisée par un tunnel IPSec.

Ressources pour la configuration du CPE

L'ingénieur réseau doit configurer le CPE à votre extrémité de la connexion IPSec. Pour lui faciliter la tâche, Oracle offre les ressources suivantes :

Pour plus d'informations, voir aussi Configuration de l'équipement local d'abonné.

Surveillance de votre connexion

Vous pouvez surveiller l'état, la capacité et la performance de vos ressources Oracle Cloud Infrastructure à l'aide de mesures, d'alarmes et d'avis. Pour plus d'informations, voir Surveillance et Avis.

Pour des informations sur la surveillance de votre connexion, voir Mesures du RPV site à site.